ACM 발급 인증서에 대한 CNAME 레코드가 확인되지 않고 DNS 검증 상태가 여전히 검증 보류 중인 이유는 무엇입니까?
DNS 검증을 사용하여 새 AWS Certificate Manager(ACM) 인증서를 요청했습니다. 하지만 CNAME 레코드가 확인되지 않고 상태가 아직 검증 보류 중입니다.
간략한 설명
DNS 검증을 사용하여 ACM 인증서를 요청하면 ACM은 인증서의 도메인 범위에 지정된 각 도메인 이름에 대한 CNAME 레코드를 제공합니다. DNS 구성에 CNAME 레코드를 추가해야 합니다. ACM은 CNAME 레코드를 사용하여 도메인의 소유권을 확인합니다. 모든 도메인이 검증된 후에는 인증서 상태가 검증 보류 중에서 성공으로 업데이트됩니다.
다음과 같은 경우에는 DNS 검증을 사용하는 인증서 요청이 검증 보류 중으로 유지될 수 있습니다.
- CNAME 레코드가 올바른 DNS 구성에 추가되지 않았습니다.
- CNAME 레코드에 추가 문자가 있거나 누락된 문자가 있습니다.
- CNAME 레코드가 올바른 DNS 구성에 추가되었지만 DNS 공급자가 DNS 레코드 끝에 베어 도메인을 자동으로 추가합니다.
- 동일한 도메인 이름에 대해 CNAME 레코드와 TXT 레코드가 존재합니다.
참고: ACM은 DNS 레코드를 주기적으로 확인합니다. 이 프로세스는 수동으로 확인할 수 없습니다.
자세한 내용은 DNS 검증을 참조하세요.
해결 방법
CNAME 레코드가 올바른 DNS 구성에 추가되지 않은 경우
CNAME 레코드가 DNS 구성에 올바르게 추가되었는지 확인하려면 다음과 비슷한 명령을 실행하세요.
참고: example-cname.example.com은 ACM CNAME 레코드로 교체하세요.
Linux 및 macOS:
dig +short _example-cname.example.com
Windows:
nslookup -type=cname _example-cname.example.com
CNAME 레코드가 올바른 DNS 구성에 추가되고 나서 성공적으로 전파된 경우 이 명령은 출력에 CNAME 레코드 값을 반환합니다.
참고: 일부 DNS 공급자는 DNS 레코드를 전파하는 데 24~48시간이 걸릴 수 있습니다.
인증서가 검증 보류 중(Pending validation) 상태인 경우 ACM에서 제공한 CNAME 레코드가 올바른 DNS 구성에 추가되었는지 확인합니다. CNAME 레코드를 추가할 DNS 구성을 확인하려면 다음과 비슷한 명령을 실행하세요.
Linux 및 macOS:
dig NS example.com
Windows:
nslookup -type=ns example.com
이 명령은 올바른 DNS 구성의 NS 레코드에 포함된 이름 서버를 제공합니다. CNAME 레코드가 추가된 DNS 구성에 명령 출력에 제공된 이름 서버와 함께 NS 레코드가 포함되었는지 확인합니다.
Amazon Route 53 호스팅 영역에 CNAME 레코드를 추가하는 방법에 대한 자세한 내용은 Route 53 콘솔을 사용하여 레코드 생성을 참조하세요.
참고: 해당 CNAME 레코드가 Route 53 프라이빗 호스팅 영역에 있는 경우 도메인의 소유권을 확인할 수 없습니다. CNAME 레코드는 퍼블릭 호스팅 영역에 있어야 합니다.
CNAME 레코드에 추가 문자가 있거나 누락된 문자가 있는 경우
DNS 구성에 추가된 CNAME 레코드에서 이름이나 값에 추가 문자가 없거나 누락된 문자가 없는지 확인하십시오.
CNAME 레코드가 올바른 DNS 구성에 추가되었지만 DNS 공급자가 DNS 레코드 끝에 베어 도메인을 자동으로 추가한 경우
일부 DNS 공급자는 모든 DNS 레코드의 이름 필드 끝에 베어 도메인을 자동으로 추가할 수 있습니다. 이 시나리오에서 DNS 구성에 추가되어 전파된 CNAME 레코드는 다음과 비슷합니다.
_example-cname.example.com.example.com
CNAME 레코드 이름이 ACM에서 제공한 이름과 일치하지 않기 때문에 검증이 성공하지 못했습니다. ACM 인증서는 인증서를 요청한 지 72시간 후에 결국 실패할 때까지 검증 보류 중 상태로 유지됩니다.
DNS 공급자가 CNAME 레코드의 끝에 베어 도메인을 자동으로 추가했는지 확인하려면 다음과 비슷한 명령을 실행하십시오.
Linux 및 macOS:
dig +short _example-cname.example.com.example.com
Windows:
nslookup -type=cname _example-cname.example.com.example.com
출력에서 CNAME 레코드 값이 반환되면 DNS 공급자가 베어 도메인을 추가한 것입니다. DNS 레코드의 이름 필드 끝에 베어 도메인이 추가되었습니다.
이 문제를 해결하려면 CNAME 레코드를 편집하고 이름 필드에 입력한 텍스트에서 베어 도메인을 제거하십시오.
DNS 공급자가 베어 도메인을 추가한 후에는 베어 도메인이 하나만 존재합니다.
동일한 도메인 이름에 대해 CNAME 레코드와 TXT 레코드가 존재합니다.
동일한 도메인에 대해 CNAME 레코드와 TXT 레코드가 있는지 확인하려면 다음과 유사한 명령을 실행합니다.
Linux 및 macOS:
dig +short CNAME <cname_record_name>
dig TXT <cname_record_name>
Windows:
nslookup -type=CNAME <cname_record_name>
nslookup -type=TXT <cname_record_name>
CNAME 레코드 및 TXT 레코드 유형에 대한 dig 명령의 출력을 비교합니다. 동일한 경우 외부 문서 RFC 1034에 명시된 대로 형식이 잘못된 레코드로 인해 인증서가 검증 보류 중 상태가 됩니다. 이를 해결하기 위해 TXT 레코드를 삭제할 수 있습니다.
자세한 내용은 DNS 검증 문제 해결을 참조하세요.
관련 정보
ACM 관리형 갱신 프로세스를 사용하여 도메인 이름을 확인한 후에도 인증서 갱신이 아직 보류 중인 이유는 무엇입니까?
관련 콘텐츠
- 질문됨 2달 전
AWS 공식업데이트됨 일 년 전- AWS 공식업데이트됨 2년 전
- AWS 공식업데이트됨 일 년 전
